Nicht nur Windows muss gepatcht werden

[Dr.Melzer 191]

Da alle nur mit Wasser kochen hat anscheinene auch Cisco Probleme mit der Sicherheit:

 

http://www.silicon.de/cpo/ts-itsecurity/detail.php?nr=22652

 

Darum immer die aktuellsten Patche installieren!

 

Bei MS ist jeden zweiten dienstag im Monat Patchday. Damit kann man rechtzeitig Vorbereitungen treffen um die Pache zeitnah zu installieren.

[FLOST 10]

Das Patchen betreieft nicht nur Windiows und Cisco. Auch die ganze Linux/Unix Geschichte braucht Patche.

 

FG

 

fLOST

[Dr.Melzer 191]

Das meinte ich damit, egal welches System man einsetzt, wichtig ist immer den aktuellsten Patchlevel zu fahern.

[ronny3312 10]

Hallo,

 

ich hoffe das meine Frage hier in diesem beriech richtig ist!

Ich persönlich verzweifel momentan ein wenig mit dem Patchen.

Wir haben ca. 300 Server an verschiedenen Standorten. Wir setzten SUS ein und stellen gerade auf WSUS um.

Leider stellen wir immer wieder fest das sich nicht jede Maschine alle patche installiert, wenn ich das automatisch mache.

Und daraus ergibt sich ein weiteres Problem bzw. eine Frage:

Wie patcht man Umgebungen dieser Größe? Wir möchten gerne ein Backup der Systeme haben das bis ca. 5.00Uhr läuft! Um 6.00Uhr muss aber spätestens jedes System wieder da sein. Also wenn ich nun die Policy auf 5.00Uhr stelle und das bei ca. 100 Servern (an diesem Standort, für den ein WSUS da ist) dann habe ich die Bedenken das der das nicht wirklich schafft!

Weiter gibt es das Problem das NICHT alle Systeme gleichzeitig (sprich in einer Nacht) die Updates bekommen sollen da das bei einem Problem mit einem Update zu einem Totalausfall führen kann. Selbst wenn man die Updates vorher testet, sieht die Produktionsumgebung doch immer anders aus. Weiter sollen Cluster Knoten ebenfalls in 2 Nächten gepatcht werden, ansonsten ist das CLuster nicht mehr da und Cluster Systeme sind bei uns nur Systeme die 24 Stunden da sein müssen.

Also meine Frage: Wie organisiert man das ohne Turnschuhe? Im AD kann ich leider auch keine Links setzten, um eventuell andere Policy auszuführen, das würde heißen das ich die Systeme in andere Gruppen (OU) stellen müsste und damit würde ich mir dann die Fähigkeiten des AD´s aushebeln da wir da bereits nach anderen Kreterien Policys haben.

Ich bin am verzweifeln, wie man das Automatisieren kann.

 

Gruß

Karsten

ronny3312

[BuzzeR 10]

Ein Hallo dem ronny3312 und einen Gruß in die Nachbars***aft! ;)

 

Bei so großen und komplexen Installationen ist das automatisierte Updaten kaum

noch handhabbar, wie Dir schon selber aufgefallen ist. Eine Milderung der Problematik

verspricht nur eine Dezentralisierung der Updatedienste, bzw. die Verteilung selbiger.

 

Bedeutet also noch mehr Server, die für das Ausrollen der Updates zuständig sind und

auf Basis von vorhandenen Policies für die jeweiligen Bereiche( OU ) die Updates

verteilen. Aber auch dieses Vorgehen birgt einige Gefahren.

 

Folgend ein paar Anregungen zu dieser ganzen Thematik und welche Möglichkeiten

man hat in Form von WSUS, SUS, SMS, SMS-Inventory.

 

Gruß

Marco

 

Related Links:

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmod/html/secmod108.asp

http://www.microsoft.com/windowsserversystem/updateservices/techinfo/previous/susdeployment.mspx

http://www.microsoft.com/technet/security/prodtech/sms/secmod199.mspx

http://www.microsoft.com/technet/security/prodtech/sus/secmod198.mspx

http://www.microsoft.com/smserver/downloads/2003/tools/inventory.asp

[micha42 29]

Das mit dem Zwang zum patchen gild auch für sonstige Software. Hier als Beispiel eine Sicherheitswarnung, dass dringend Adobe Acrobat Reader in die neueste Version gebracht werden soll:

http://www.tecchannel.de/index.cfm?pid=187&pk=431634

Wenn man bedenkt, dass der Reader auf jedem PC drauf ist und nur selten auf den neuesten Stand gebracht wird eine riesen-Sicherheitslücke.

Michael